啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)-白皮書

1、天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng) 產(chǎn)品白皮書北京啟明星辰信息技術(shù)有限公司PAGE 19啟明星辰天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)產(chǎn)品白皮書（版本2.0）北京啟明星辰信息技術(shù)有限公司2009年9月版權(quán)聲明北京啟明星辰信息技術(shù)有限公司2009版權(quán)所有，保留一切權(quán)利。未經(jīng)北京啟明星辰信息技術(shù)有限公司（以下簡(jiǎn)稱啟明星辰）書面同意不得擅自傳播、復(fù)制、泄露或復(fù)寫本文檔的全部或部分內(nèi)容。本文檔中的信息歸啟明星辰所有并受中國(guó)知識(shí)產(chǎn)權(quán)法和國(guó)際公約的保護(hù)。信息更新本文檔及與之相關(guān)的計(jì)算機(jī)軟件程序（以下稱為文檔）用于為最終用戶提供信息，并且隨時(shí)可由啟明星辰更改或撤回。發(fā)布日期：2009年9月。適用范圍：天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)V6.0信息反饋如

2、有任何意見或建議，請(qǐng)按如下聯(lián)系方式反饋給啟明星辰。郵政地址：北京市海淀區(qū)東北旺西路8號(hào)中關(guān)村軟件園21號(hào)樓啟明星辰大廈郵政編碼：100094電話：86-10-82779088 傳真：86-10-82779000E-mail：cpyj免責(zé)條款根據(jù)適用法律的許可范圍，啟明星辰按“原樣”提供本文檔而不承擔(dān)任何形式的擔(dān)保，包括（但不限于）任何隱含的適銷性、特殊目的適用性或無侵害性。在任何情況下，啟明星辰都不會(huì)對(duì)最終用戶或任何第三方因使用本文檔造成的任何直接或間接損失或損壞負(fù)責(zé)，即使啟明星辰明確得知這些損失或損壞，這些損失或損壞包括（但不限于）利潤(rùn)損失、業(yè)務(wù)中斷、信譽(yù)或數(shù)據(jù)丟失。本文檔中所有引用產(chǎn)品的使

3、用及本文檔均受最終用戶可適用的特許協(xié)議約束。目錄 TOC o 2-3 t 標(biāo)題 1,1 1產(chǎn)品概述 PAGEREF _Toc316547156 h 21.1產(chǎn)品簡(jiǎn)介 PAGEREF _Toc316547157 h 21.2適用場(chǎng)景 PAGEREF _Toc316547158 h 21.3核心價(jià)值 PAGEREF _Toc316547159 h 22用戶需求（面臨的問題） PAGEREF _Toc316547160 h 32.1內(nèi)部人員操作安全隱患 PAGEREF _Toc316547161 h 32.2第三方維護(hù)人員安全隱患 PAGEREF _Toc316547162 h 32.3最高權(quán)限用戶

4、安全隱患 PAGEREF _Toc316547163 h 33產(chǎn)品主要功能 PAGEREF _Toc316547164 h 43.1面向業(yè)務(wù)的審計(jì) PAGEREF _Toc316547165 h 43.2數(shù)據(jù)庫(kù)響應(yīng)時(shí)間及返回碼的審計(jì) PAGEREF _Toc316547166 h 53.3細(xì)粒度審計(jì)規(guī)則和響應(yīng) PAGEREF _Toc316547167 h 63.3.1定制審計(jì)事件規(guī)則 PAGEREF _Toc316547168 h 63.3.2特定賬號(hào)行為跟蹤 PAGEREF _Toc316547169 h 63.3.3強(qiáng)大的數(shù)據(jù)庫(kù)規(guī)則 PAGEREF _Toc316547170 h 63.

5、3.4多編碼環(huán)境支持 PAGEREF _Toc316547171 h 63.3.5多種響應(yīng)方式 PAGEREF _Toc316547172 h 73.4強(qiáng)身份認(rèn)證 PAGEREF _Toc316547173 h 73.5審計(jì)報(bào)告輸出 PAGEREF _Toc316547174 h 73.5.1多種篩選條件 PAGEREF _Toc316547175 h 73.5.2自動(dòng)任務(wù)支持 PAGEREF _Toc316547176 h 83.5.3數(shù)據(jù)和報(bào)表備份 PAGEREF _Toc316547177 h 83.6自身管理 PAGEREF _Toc316547178 h 83.6.1安全管理 PAG

6、EREF _Toc316547179 h 83.6.2狀態(tài)管理 PAGEREF _Toc316547180 h 83.6.3時(shí)間同步管理 PAGEREF _Toc316547181 h 94關(guān)鍵特性與客戶收益 PAGEREF _Toc316547182 h 104.1關(guān)鍵特性 PAGEREF _Toc316547183 h 104.2客戶收益 PAGEREF _Toc316547184 h 104.2.1滿足合規(guī)性要求，順利通過IT審計(jì) PAGEREF _Toc316547185 h 104.2.2有效減少核心信息資產(chǎn)的破壞和泄漏 PAGEREF _Toc316547186 h 114.2.3

7、追蹤溯源，便于事后追查原因與界定責(zé)任 PAGEREF _Toc316547187 h 114.2.4直觀掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況 PAGEREF _Toc316547188 h 114.2.5實(shí)現(xiàn)獨(dú)立審計(jì)與三權(quán)分立，完善IT內(nèi)控機(jī)制 PAGEREF _Toc316547189 h 115部署與使用 PAGEREF _Toc316547190 h 125.1部署方式 PAGEREF _Toc316547191 h 125.2使用注意事項(xiàng) PAGEREF _Toc316547192 h 126產(chǎn)品型號(hào) PAGEREF _Toc316547193 h 147產(chǎn)品資質(zhì) PAGEREF _Toc316

8、547194 h 158服務(wù)支持 PAGEREF _Toc316547195 h 16產(chǎn)品概述產(chǎn)品簡(jiǎn)介天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)，以下簡(jiǎn)稱天玥，是啟明星辰網(wǎng)絡(luò)安全審計(jì)系列產(chǎn)品之一。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理系統(tǒng)。它通過對(duì)被授權(quán)人員和系統(tǒng)的網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報(bào)，以幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告、事故追蹤溯源，加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)（數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等）的正常運(yùn)營(yíng)。適用場(chǎng)景天玥的用戶通常擁有重要的業(yè)務(wù)應(yīng)用系統(tǒng)或者網(wǎng)絡(luò)基礎(chǔ)設(shè)施，相應(yīng)地具備如下需求中的部分或者全部：1、需要滿足各種合規(guī)要求，

9、比如等級(jí)保護(hù)、分級(jí)保護(hù)、SOX等要求；2、需要對(duì)重要/關(guān)鍵數(shù)據(jù)的訪問進(jìn)行審計(jì)；3、需要對(duì)重要/關(guān)鍵服務(wù)器的訪問進(jìn)行審計(jì)；4、希望有效地控制操作風(fēng)險(xiǎn)；5、需要進(jìn)行事后追查，但缺乏數(shù)據(jù)記錄與追查方法。核心價(jià)值天玥的核心價(jià)值體現(xiàn)在：完善業(yè)務(wù)系統(tǒng)的安全防范體系，滿足組織機(jī)構(gòu)內(nèi)外部合規(guī)性要求，全面體現(xiàn)管理者對(duì)業(yè)務(wù)系統(tǒng)信息資源的全局把控和調(diào)度能力。主要表現(xiàn)在：1、如同不知疲倦的網(wǎng)絡(luò)警察，時(shí)刻監(jiān)視著對(duì)重要資源的訪問；2、當(dāng)出現(xiàn)安全事件后，能根據(jù)翔實(shí)的審計(jì)記錄，一步步地追查出攻擊者；3、找出導(dǎo)致安全事件、性能波動(dòng)的真正原因；4、幫助用戶加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、滿足企業(yè)內(nèi)部控制或者外部政策等合規(guī)性要求。用戶需求

10、（面臨的問題）內(nèi)部人員操作安全隱患隨著企業(yè)信息化進(jìn)程不斷深入，企業(yè)的業(yè)務(wù)系統(tǒng)變得日益復(fù)雜，由內(nèi)部員工違規(guī)操作導(dǎo)致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢測(cè)系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對(duì)于內(nèi)部人員的違規(guī)操作卻無能為力。根據(jù)最新統(tǒng)計(jì)資料，對(duì)企業(yè)造成嚴(yán)重攻擊中的70是來自于組織里的內(nèi)部人員。第三方維護(hù)人員安全隱患企業(yè)在發(fā)展的過程中，因?yàn)閼?zhàn)略定位和人力等諸多原因，越來越多的會(huì)將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司。如何有效地監(jiān)視設(shè)備廠商和代維人員的操作行為,并進(jìn)行嚴(yán)格的審計(jì)是企業(yè)面臨的一個(gè)關(guān)鍵問題。最高權(quán)限用戶安全隱患一般來說，我們都是從各種系統(tǒng)日志里面去發(fā)現(xiàn)是否有入

11、侵后留下來的“蛛絲馬跡”來判斷是否發(fā)生過安全事件。但是，系統(tǒng)是在經(jīng)歷了大量的操作和變化后，才逐漸變得不安全。從系統(tǒng)變更的角度來看，網(wǎng)絡(luò)審計(jì)日志比系統(tǒng)日志在定位系統(tǒng)安全問題上更可信。（比如，系統(tǒng)的最高權(quán)限用戶root/Administrators等長(zhǎng)期以來一直處于不可管理的狀態(tài)。）產(chǎn)品主要功能天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)基于“IP數(shù)據(jù)俘獲強(qiáng)身份認(rèn)證（可選）應(yīng)用層數(shù)據(jù)分析審計(jì)和響應(yīng)” 的模式提供各項(xiàng)安全功能，使它的審計(jì)功能明顯優(yōu)于目標(biāo)系統(tǒng)依靠自主保護(hù)策略提供的審計(jì)功能。主要體現(xiàn)在以下幾個(gè)方面：與目標(biāo)系統(tǒng)的狀態(tài)無關(guān)無論目標(biāo)系統(tǒng)是否遭到入侵，安全機(jī)制是否正常運(yùn)轉(zhuǎn)，天玥的審計(jì)結(jié)果仍然是可信的；能夠?qū)徲?jì)到更細(xì)的粒

12、度天玥審計(jì)的最小粒度為命令級(jí)，而一般操作系統(tǒng)提供的日志受日志來源限制，往往只能到進(jìn)程級(jí)或者會(huì)話級(jí)；能夠進(jìn)行更靈活的自定義審計(jì)天玥可以根據(jù)用戶業(yè)務(wù)系統(tǒng)的不同提供強(qiáng)大的自定義審計(jì)功能，而一般操作系統(tǒng)提供的日志完全取決于自身審計(jì)功能，不支持用戶自定義；天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)主要功能如下：針對(duì)不同的應(yīng)用協(xié)議，提供基于應(yīng)用操作的審計(jì)；提供數(shù)據(jù)庫(kù)操作語(yǔ)義解析審計(jì)，實(shí)現(xiàn)對(duì)違規(guī)行為的及時(shí)監(jiān)視和告警；提供上百種合規(guī)規(guī)則，支持自定義規(guī)則（正則表達(dá)式等），實(shí)現(xiàn)靈活多樣的響應(yīng)；提供基于硬件令牌、靜態(tài)口令、Radius支持的強(qiáng)身份認(rèn)證；根據(jù)設(shè)定輸出不同的安全審計(jì)報(bào)告；面向業(yè)務(wù)的審計(jì)數(shù)據(jù)庫(kù)審計(jì)天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)能夠監(jiān)視并

13、記錄對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各類操作行為，實(shí)時(shí)地、智能地解析對(duì)數(shù)據(jù)庫(kù)服務(wù)器的各種操作，一般操作行為如數(shù)據(jù)庫(kù)的登錄，特定的操作如對(duì)數(shù)據(jù)庫(kù)表的插入、刪除、修改，執(zhí)行特定的存貯過程等，都能夠被記錄和分析，分析的內(nèi)容要求可以精確到SQL操作語(yǔ)句一級(jí)。并記錄這些操作的用戶名、機(jī)器IP地址、操作時(shí)間等重要信息。系統(tǒng)能夠?qū)Σ捎肙DBC、JDBC、OLE-DB、命令行嵌入方式對(duì)數(shù)據(jù)庫(kù)的訪問進(jìn)行審計(jì)和響應(yīng)。SQL語(yǔ)句的支持SQL92標(biāo)準(zhǔn)，主要包括以下幾種類型的審計(jì)：DDL：Create ,Drop,Grant,RevokeDML：Update,Insert,DeleteDCL：Commit,Rollback,Savap

14、oint其他：Alter System,Connect,Allocate存儲(chǔ)過程目前，天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持以下數(shù)據(jù)庫(kù)系統(tǒng)的審計(jì)OracleSQL-ServerDB2InformixSybaseTeradataMysqlPostgreSQLCache網(wǎng)絡(luò)運(yùn)維審計(jì)天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持常用的運(yùn)維協(xié)議，比如Telnet、FTP、Rlogin、X11、Radius等協(xié)議的審計(jì)，能夠全程記錄用戶在服務(wù)器上的各種操作（包括命令行操作、交互菜單操作、業(yè)務(wù)系統(tǒng)操作），并且可以實(shí)現(xiàn)類似窗口錄像回放形式的還原。OA審計(jì)天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持HTTP、POP3、SMTP、Netbios、NFS協(xié)議的審計(jì)，能

15、夠記錄網(wǎng)頁(yè)URL、內(nèi)容、發(fā)件人、收件人、郵件內(nèi)容、網(wǎng)絡(luò)鄰居的各種操作等信息。數(shù)據(jù)庫(kù)響應(yīng)時(shí)間及返回碼的審計(jì)天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持對(duì)SQL Server、DB2、Oracle、Informix等數(shù)據(jù)庫(kù)系統(tǒng)的SQL操作響應(yīng)時(shí)間和返回碼的審計(jì)。通過對(duì)響應(yīng)時(shí)間和返回碼的審計(jì)，可以幫助用戶對(duì)數(shù)據(jù)庫(kù)的使用狀態(tài)全面掌握、及時(shí)響應(yīng)故障信息，特別是當(dāng)新業(yè)務(wù)系統(tǒng)上線、業(yè)務(wù)繁忙、業(yè)務(wù)模塊更新時(shí)，通過天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)對(duì)超長(zhǎng)時(shí)間和關(guān)鍵返回碼進(jìn)行審計(jì)并實(shí)時(shí)報(bào)警有助于提高業(yè)務(wù)系統(tǒng)的運(yùn)營(yíng)水平，降低數(shù)據(jù)庫(kù)故障等帶來的運(yùn)維風(fēng)險(xiǎn)。細(xì)粒度審計(jì)規(guī)則和響應(yīng)定制審計(jì)事件規(guī)則天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了事件規(guī)則用戶自定義模塊，允許用戶自行

16、設(shè)定和調(diào)整各種安全審計(jì)事件的觸發(fā)條件與響應(yīng)策略。例如，用戶特別關(guān)注在telnet過程中出現(xiàn)rm、passwd、shutdown等命令的行為，那么用戶就可以利用天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)定義相應(yīng)的審計(jì)事件規(guī)則。這樣，天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)就可以針對(duì)網(wǎng)絡(luò)中發(fā)生的這些行為進(jìn)行響應(yīng)。特定賬號(hào)行為跟蹤系統(tǒng)能夠?qū)崿F(xiàn)對(duì)“用戶網(wǎng)絡(luò)環(huán)境中出現(xiàn)的特定賬號(hào)或特定賬號(hào)執(zhí)行某種操作后”的場(chǎng)景進(jìn)行賬號(hào)跟蹤，提供對(duì)后繼會(huì)話和事件的審計(jì)。這樣，管理員能夠?qū)Τ霈F(xiàn)在網(wǎng)絡(luò)中的特權(quán)賬號(hào)，比如root、DBA等，進(jìn)行重點(diǎn)的監(jiān)控，特別是哪些本不應(yīng)出現(xiàn)在網(wǎng)絡(luò)上的特權(quán)賬號(hào)突然出現(xiàn)的事件。強(qiáng)大的數(shù)據(jù)庫(kù)規(guī)則系統(tǒng)能夠根據(jù)訪問數(shù)據(jù)庫(kù)的源程序名、登陸數(shù)據(jù)庫(kù)的

17、賬號(hào)、數(shù)據(jù)庫(kù)命令、數(shù)據(jù)庫(kù)名、數(shù)據(jù)庫(kù)表名、數(shù)據(jù)庫(kù)字段名、數(shù)據(jù)庫(kù)字段值、數(shù)據(jù)庫(kù)返回碼等作為條件，對(duì)用戶關(guān)心的違規(guī)行為進(jìn)行響應(yīng)，特別是針對(duì)重要表、重要字段的各種操作，能夠通過簡(jiǎn)單的規(guī)則定義，實(shí)現(xiàn)精確審計(jì)，降低過多審計(jì)數(shù)據(jù)給管理員帶來的信息爆炸。多編碼環(huán)境支持天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)適用于多種應(yīng)用環(huán)境，特別是在異構(gòu)環(huán)境中，比如IBM AS/400通常采用EBCDIC編碼方式實(shí)現(xiàn)telnet協(xié)議的傳輸、某些數(shù)據(jù)庫(kù)同時(shí)采用幾種編碼與客戶端進(jìn)行通訊，若系統(tǒng)不能識(shí)別多種編碼，會(huì)導(dǎo)致審計(jì)數(shù)據(jù)出現(xiàn)亂碼，對(duì)多編碼的支持是衡量審計(jì)系統(tǒng)環(huán)境適應(yīng)性的重要指標(biāo)之一，目前天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持如下編碼格式ASCIIUnicod

18、eUTF-8UTF-16GB2312EBCDIC多種響應(yīng)方式天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了多種響應(yīng)方式，包括：在天玥審計(jì)服務(wù)器中記錄相應(yīng)的操作過程；在日常審計(jì)報(bào)告中標(biāo)注；向天玥管理控制臺(tái)發(fā)出告警信息；實(shí)時(shí)RST阻斷會(huì)話連接；管理人員通過本系統(tǒng)手工RST阻斷會(huì)話連接；通過Syslog方式進(jìn)行告警通過SNMP Trap方式進(jìn)行告警通過郵件方式進(jìn)行告警強(qiáng)身份認(rèn)證傳統(tǒng)的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)通過網(wǎng)絡(luò)層捕獲實(shí)現(xiàn)審計(jì)數(shù)據(jù)的解析，對(duì)網(wǎng)絡(luò)行為的定位往往局限于IP地址和MAC地址，在某些場(chǎng)景，比如要求自然人和網(wǎng)絡(luò)行為關(guān)聯(lián)的情況下，由于IP地址或MAC地址不具備源頭可信任，追蹤稽查效果大打折扣。針對(duì)這種情況，啟明星辰公司的

19、天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了USB硬件令牌、靜態(tài)口令、Radius支持三種方式進(jìn)行認(rèn)證，用戶可選擇適合自身使用習(xí)慣的認(rèn)證方式實(shí)現(xiàn)對(duì)自然人的綁定，當(dāng)自然人在進(jìn)行網(wǎng)絡(luò)操作時(shí)，其真實(shí)身份將會(huì)和網(wǎng)絡(luò)行為進(jìn)行關(guān)聯(lián)，從而實(shí)現(xiàn)對(duì)自然人的追蹤和稽查。審計(jì)報(bào)告輸出天玥審計(jì)系統(tǒng)從安全管理的角度出發(fā)，設(shè)計(jì)一套完善的審計(jì)報(bào)告輸出機(jī)制。多種篩選條件天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了強(qiáng)大、靈活的篩選條件設(shè)置機(jī)制。在設(shè)置篩選條件時(shí)，審計(jì)員可基于以下要素的組合進(jìn)行設(shè)置：時(shí)間、客戶端IP、客戶端端口號(hào)、服務(wù)端IP、服務(wù)端端口、關(guān)鍵字、事件級(jí)別、引擎名、業(yè)務(wù)用戶身份、資源賬號(hào)等條件。審計(jì)員可根據(jù)需要靈活地設(shè)置審計(jì)報(bào)表的各種要素，迅速生成自

20、己希望看到的審計(jì)內(nèi)容。同時(shí)系統(tǒng)提供了報(bào)表模板功能，審計(jì)員無需重復(fù)輸入，只需要設(shè)置模板后，即可按模板進(jìn)行報(bào)表生成。 自動(dòng)任務(wù)支持天玥網(wǎng)絡(luò)安全系統(tǒng)提供報(bào)表任務(wù)功能，審計(jì)員可根據(jù)實(shí)際情況定制報(bào)表生成任務(wù)；系統(tǒng)支持HTML、EXCEL、CSV、PDF、Word等多種文檔格式的報(bào)表輸出，可以通過郵件方式自動(dòng)發(fā)送給審計(jì)員。 數(shù)據(jù)和報(bào)表備份天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供了審計(jì)數(shù)據(jù)和報(bào)表的手動(dòng)和自動(dòng)備份功能，可以將壓縮后的數(shù)據(jù)自動(dòng)傳輸?shù)街付ǖ腇TP服務(wù)器，提供每天、每周、每月、時(shí)刻的定義方式。自身管理安全管理天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)的管理控制中心提供了集中的管理控制界面，審計(jì)員通過管理控制臺(tái)就能管理和綜合分析所有審計(jì)引

21、擎的審計(jì)信息和狀態(tài)信息，并形成審計(jì)報(bào)表。天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)支持權(quán)限分級(jí)管理模式，可對(duì)不同的角色設(shè)定不同的管理權(quán)限。例如，超級(jí)管理員擁有所有的管理權(quán)限；而某些普通管理員則可能僅擁有查看審計(jì)報(bào)表的權(quán)限，某些管理員可以擁有設(shè)置審計(jì)策略或安全規(guī)則的權(quán)限。系統(tǒng)提供專門的自身審計(jì)日志，記錄所有人員對(duì)天玥系統(tǒng)的操作，方便審計(jì)員對(duì)日志進(jìn)行分析和查看。狀態(tài)管理天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供CPU、內(nèi)存、磁盤狀態(tài)、網(wǎng)口等運(yùn)行信息，管理員可以很輕松的通過GUI界面實(shí)現(xiàn)對(duì)審計(jì)數(shù)據(jù)中心、審計(jì)引擎的工作狀態(tài)進(jìn)行查看。當(dāng)出現(xiàn)錯(cuò)誤信息時(shí)，比如Raid故障、磁盤空間不足、引擎連接問題，系統(tǒng)可自動(dòng)郵件通知相關(guān)管理人員。時(shí)間同步管理天

22、玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)提供手工和NTP兩種時(shí)間同步方式，通過對(duì)全系統(tǒng)自身的時(shí)間同步，保證了審計(jì)數(shù)據(jù)時(shí)間戳的精確性，避免了審計(jì)事件時(shí)間誤差給事后審計(jì)分析工作帶來的影響，提升了工作效率。關(guān)鍵特性與客戶收益關(guān)鍵特性審計(jì)事件入庫(kù)達(dá)到每秒8000條以上，能夠滿足高性能情況下對(duì)審計(jì)系統(tǒng)的要求，避免性能不足導(dǎo)致事件不完整給事后審計(jì)追查帶來的問題。支持主流商用數(shù)據(jù)庫(kù)，實(shí)現(xiàn)細(xì)粒度的審計(jì)，能夠?qū)徲?jì)時(shí)間、級(jí)別、目的IP、源IP、源端口、目的端口、源MAC、目的MAC、資源賬號(hào)、數(shù)據(jù)庫(kù)名、數(shù)據(jù)庫(kù)表名、數(shù)據(jù)庫(kù)命令、數(shù)據(jù)庫(kù)字段及其對(duì)應(yīng)值、SQL語(yǔ)句等信息。支持眾多的數(shù)據(jù)庫(kù)關(guān)鍵特性審計(jì)，包括SQL返回行數(shù)、SQL響應(yīng)時(shí)間、數(shù)據(jù)

23、庫(kù)賬號(hào)登陸失敗、數(shù)據(jù)庫(kù)服務(wù)無法連接、數(shù)據(jù)庫(kù)操作成功、數(shù)據(jù)表空間不足、數(shù)據(jù)庫(kù)并發(fā)會(huì)話數(shù)超限、數(shù)據(jù)庫(kù)并發(fā)進(jìn)程數(shù)超限、數(shù)據(jù)庫(kù)并發(fā)用戶數(shù)超限、數(shù)據(jù)庫(kù)并發(fā)游標(biāo)數(shù)超限、數(shù)據(jù)庫(kù)并發(fā)事務(wù)數(shù)超限、數(shù)據(jù)庫(kù)鎖超限、數(shù)據(jù)庫(kù)死鎖狀況、數(shù)據(jù)庫(kù)錯(cuò)誤次數(shù)超限、數(shù)據(jù)庫(kù)操作權(quán)限不足等多種情況的審計(jì)。支持靈活的審計(jì)規(guī)則，定制條件包括時(shí)間IP、端口、賬號(hào)名稱、事件級(jí)別、內(nèi)容等，能夠以精確匹配、模糊匹配、正則表達(dá)式匹配方式對(duì)審計(jì)事件進(jìn)行匹配，幫助用戶對(duì)關(guān)鍵操作進(jìn)行及時(shí)響應(yīng)。支持IP黑白名單、賬號(hào)黑白名單、賬號(hào)發(fā)現(xiàn)、賬號(hào)跟蹤審計(jì)、賬號(hào)行為事件分級(jí)等多種特性，便于在實(shí)際審計(jì)過程中進(jìn)行靈活設(shè)置。全面考慮數(shù)據(jù)庫(kù)系統(tǒng)的審計(jì)點(diǎn)，除了數(shù)據(jù)庫(kù)SQL訪

24、問審計(jì)外，系統(tǒng)還提供了Telnet、Rlogin、FTP、NFS、Netbios等主機(jī)遠(yuǎn)程嵌入訪問數(shù)據(jù)庫(kù)、文件方式訪問數(shù)據(jù)庫(kù)的行為進(jìn)行審計(jì)。提供足夠的存儲(chǔ)空間（1000G以上），滿足在線存儲(chǔ)至少6個(gè)月的要求；支持NTP同步和自同步，能夠保證審計(jì)記錄的時(shí)間的一致性，避免錯(cuò)誤時(shí)間記錄給追蹤溯源帶來的影響。客戶收益滿足合規(guī)性要求，順利通過IT審計(jì)目前，越來越多的單位面臨一種或者幾種合規(guī)性要求。比如，在美上市的中國(guó)移動(dòng)集團(tuán)公司及其下屬分子公司就面臨SOx法案的合規(guī)性要求；而商業(yè)銀行則面臨Basel協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國(guó)有企業(yè)則有遵循等級(jí)保護(hù)的合規(guī)性要求。天玥系統(tǒng)提供了一種獨(dú)立的審計(jì)

25、方案，有助于完善組織的IT內(nèi)控與審計(jì)體系，從而滿足各種合規(guī)性要求，并且使組織能夠順利通過IT審計(jì)。有效減少核心信息資產(chǎn)的破壞和泄漏對(duì)單位的業(yè)務(wù)系統(tǒng)來說，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個(gè)關(guān)鍵系統(tǒng)上（如數(shù)據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等），通過使用天玥系統(tǒng)，能夠加強(qiáng)對(duì)這些關(guān)鍵系統(tǒng)的審計(jì)，從而有效地減少對(duì)核心信息資產(chǎn)的破壞和泄漏。追蹤溯源，便于事后追查原因與界定責(zé)任一個(gè)單位里負(fù)責(zé)運(yùn)維的部門通常擁有目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的最高權(quán)限（掌握DBA帳號(hào)的口令），因而也承擔(dān)著很高的風(fēng)險(xiǎn)（誤操作或者是個(gè)別人員的惡意破壞）。由于目標(biāo)系統(tǒng)不能區(qū)別不同人員使用同一個(gè)帳號(hào)進(jìn)行維護(hù)操作，所以不能界定維護(hù)人員的真實(shí)身份。天玥

26、系統(tǒng)提供基于角色的審計(jì)，能夠有效地區(qū)分不同維護(hù)人員的身份，便于事后追查原因與界定責(zé)任。直觀掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況業(yè)務(wù)系統(tǒng)的正常運(yùn)行需要一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。對(duì)管理部門來說，網(wǎng)絡(luò)環(huán)境的安全狀況事關(guān)重大。天玥系統(tǒng)提供業(yè)務(wù)流量監(jiān)控與審計(jì)事件統(tǒng)計(jì)分析功能，能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況。實(shí)現(xiàn)獨(dú)立審計(jì)與三權(quán)分立，完善IT內(nèi)控機(jī)制從內(nèi)控的角度來看，IT系統(tǒng)的使用權(quán)、管理權(quán)與監(jiān)督權(quán)必須三權(quán)分立。天玥系統(tǒng)基于網(wǎng)絡(luò)旁路監(jiān)聽的方式實(shí)現(xiàn)獨(dú)立的審計(jì)與三權(quán)分立，完善了IT內(nèi)控機(jī)制。部署與使用部署方式天玥采用旁路部署方式對(duì)原有網(wǎng)絡(luò)不造成影響，設(shè)備故障不影響現(xiàn)有網(wǎng)絡(luò)的正常運(yùn)行。一般部署方式如下：1、根據(jù)不同的審計(jì)

27、范圍部署一到多臺(tái)天玥審計(jì)引擎；2、部署一臺(tái)天玥審計(jì)數(shù)據(jù)中心；3、通過IEl瀏覽器進(jìn)行訪問和管理；天玥審計(jì)系統(tǒng)部署示意圖（注意：天玥審計(jì)引擎需連接在交換機(jī)鏡像端口并且恰當(dāng)配置）使用注意事項(xiàng)明確需要審計(jì)的對(duì)象，以數(shù)據(jù)庫(kù)審計(jì)為例，需要明確數(shù)據(jù)庫(kù)系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)所依賴的主機(jī)系統(tǒng)、交換機(jī)等設(shè)備需要審計(jì)的端口和協(xié)議，形成審計(jì)業(yè)務(wù)表明確審計(jì)系統(tǒng)部署的位置和審計(jì)事件采集的方式，形成網(wǎng)絡(luò)部署結(jié)構(gòu)圖對(duì)需要審計(jì)的應(yīng)用上所存在的賬號(hào)訪問行為制定審計(jì)規(guī)則，尤其是特權(quán)賬號(hào)的訪問行為、關(guān)鍵表關(guān)鍵字段的訪問行為等，備份已完成的策略文件制定回退計(jì)劃，實(shí)現(xiàn)審計(jì)系統(tǒng)上線的切割。依照相關(guān)管理制度，完成定期生成審計(jì)報(bào)表、定期數(shù)據(jù)備份等

28、日常維護(hù)工作清單，備份相關(guān)配置文件、備份審計(jì)系統(tǒng)的相關(guān)賬號(hào)和密碼信息 產(chǎn)品型號(hào)CA300E審計(jì)引擎百兆引擎、1U上架專用設(shè)備、1個(gè)100M電口監(jiān)聽口、1個(gè)1000M電口管理口、監(jiān)聽口不可擴(kuò)充抓包性能：100Mbps每秒入庫(kù)性能：8000條/秒CA500E審計(jì)引擎百兆引擎、1U上架專用設(shè)備、2個(gè)100M電口監(jiān)聽口、1個(gè)1000M電口管理口、監(jiān)聽口不可擴(kuò)充CA500S審計(jì)數(shù)據(jù)中心百兆引擎的審計(jì)數(shù)據(jù)中心、2U上架專用設(shè)備、支持4個(gè)百兆引擎、1個(gè)1000M電口管理口、1個(gè)1000M備用電口、數(shù)據(jù)存儲(chǔ)量1.5T、支持RAID5CA2300E審計(jì)引擎千兆引擎、1U上架專用設(shè)備、2千兆電口監(jiān)聽、4個(gè)SFP千

29、兆插槽、1個(gè)千兆管理口、最大支持4個(gè)監(jiān)聽口抓包性能：1000Mbps每秒入庫(kù)性能：16000條/秒CA2300S審計(jì)數(shù)據(jù)中心千百兆引擎的審計(jì)數(shù)據(jù)中心、2U上架專用設(shè)備、支持2個(gè)審計(jì)引擎、1個(gè)1000M電口管理口、1個(gè)1000M備用電口、數(shù)據(jù)存儲(chǔ)量2T、支持RAID5CA2800E審計(jì)引擎千兆引擎、1U上架專用設(shè)備、2千兆電口監(jiān)聽、4個(gè)SFP千兆插槽、1個(gè)千兆管理口、最大支持4個(gè)監(jiān)聽口抓包性能：1000Mbps每秒入庫(kù)性能：32000條/秒CA2800S審計(jì)數(shù)據(jù)中心千百兆引擎的審計(jì)數(shù)據(jù)中心、2U上架專用設(shè)備、支持4個(gè)審計(jì)引擎、1個(gè)1000M電口管理口、1個(gè)1000M備用電口、數(shù)據(jù)存儲(chǔ)量2T、支持

30、RAID5產(chǎn)品資質(zhì)天玥網(wǎng)絡(luò)安全審計(jì)系統(tǒng)具有如下資質(zhì)：中華人民共和國(guó)公安部頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證國(guó)家信息安全測(cè)評(píng)認(rèn)證中心頒發(fā)的產(chǎn)品型號(hào)證書國(guó)家保密局頒發(fā)的涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書中國(guó)人民解放軍信息安全評(píng)測(cè)中心頒發(fā)的軍用信息安全產(chǎn)品認(rèn)證證書服務(wù)支持公司總部北京市海淀區(qū)東北旺西路8號(hào)中關(guān)村軟件園21號(hào)啟明星辰大廈郵編：100193電話真支機(jī)構(gòu)聯(lián)系方式：北京市西城區(qū)南鬧市口大街1號(hào)長(zhǎng)安中心5層#4-5B 郵編：100031電話真海市浦東新區(qū)張江高科技園區(qū)碧波路177號(hào)A區(qū)

31、1層101室 郵編：201203電話真州市萬塘路317號(hào)華星世紀(jì)大樓10樓1003室 郵編：310013電話85874060傳真京市珠江路88號(hào)新世界中心A座2702室 郵編：210008電話84530460傳真999安徽省合肥市長(zhǎng)江中路177號(hào)花樣年華1502室 郵編：230000電話真圳市福田區(qū)深南中路2號(hào)新聞大廈14層 郵編：518027電話：0755-25951

32、188傳真州市天河區(qū)中山大道西華景路1號(hào)南方通信大廈9樓 郵編：510640電話真西南寧市七星路137號(hào)外貿(mào)大廈23層2305室 郵編：530022電話真州市五四路151號(hào)宏運(yùn)帝豪國(guó)際大廈10層1023室 郵編：350003電話真慶市高新區(qū)科園一街73號(hào)科技發(fā)展大廈F座5-7 郵編：400039電話1007傳真都市高新區(qū)天府大道南延線高新孵化園1號(hào)樓A座4樓D-5號(hào)附1、2號(hào) 郵編：610041電話：028-